SEC04-BP02 Recopilación de registros, hallazgos y métricas en ubicaciones estandarizadas

Los equipos de seguridad se basan en los registros y los hallazgos para analizar aquellos eventos que podrían indicar una actividad no autorizada o cambios no intencionados. Para agilizar este análisis, recoja los registros de seguridad y los hallazgos en ubicaciones estandarizadas.  Esto hace que los puntos de datos de interés estén disponibles para su correlación y puede simplificar la integración de herramientas.

Resultado deseado: contar con un enfoque estandarizado para recopilar, analizar y visualizar los datos de registro, los hallazgos y las métricas. Los equipos de seguridad pueden correlacionar, analizar y visualizar de manera eficiente los datos de seguridad en sistemas dispares para descubrir posibles eventos de seguridad e identificar anomalías. Disponer de sistemas de gestión de información y eventos de seguridad (SIEM) u otros mecanismos integrados para consultar y analizar los datos de registro con el fin de responder, rastrear y escalar los eventos de seguridad sin demora.

Antipatrones usuales:

• Los equipos tienen y administran de forma independiente registros y recopilaciones de métricas que no se ajustan a la estrategia de registro de la organización.

• Los equipos no tienen controles de acceso adecuados para restringir la visibilidad y la alteración de los datos recopilados.

• Los equipos no gestionan sus registros, hallazgos y métricas de seguridad como parte de su política de clasificación de datos.

• Los equipos no tienen en cuenta los requisitos de soberanía y localización de los datos al configurar las recopilaciones de datos.

Beneficios de establecer esta práctica recomendada: una solución de registro estandarizada para recopilar y consultar los datos y eventos de registro mejora los conocimientos obtenidos a partir de la información que contienen. La configuración de un ciclo de vida automatizado para los datos de registro recopilados puede reducir los costes derivados del almacenamiento de registros. Puede crear un control de acceso detallado para la información de registro recopilada de acuerdo con el nivel de confidencialidad de los datos y los patrones de acceso que necesiten sus equipos. Puede integrar herramientas para correlacionar, visualizar y obtener información a partir de los datos.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio

Guía para la implementación

El aumento del uso de AWS dentro de una organización se traduce en un número cada vez mayor de cargas de trabajo y entornos distribuidos. A medida que cada una de estas cargas de trabajo y entornos genera datos sobre la actividad que contienen, la captura y el almacenamiento de estos datos de forma local supone un desafío para las operaciones de seguridad. Los equipos de seguridad utilizan herramientas como los sistemas de gestión de información y eventos de seguridad (SIEM) para recopilar datos de fuentes distribuidas y llevar a cabo tareas de correlación, análisis y elaboración de flujos de trabajo de respuesta. Esto requiere administrar un conjunto complejo de permisos para acceder a los diversos orígenes de datos y una sobrecarga adicional para operar los procesos de extracción, transformación y carga (ETL).

Para superar estos desafíos, podría plantearse la posibilidad de agregar todas las fuentes relevantes de datos de registro de seguridad en una cuenta de Log Archive, tal como se describe en «Organizing Your AWS Environment Using Multiple Accounts». Esto incluye todos los datos relacionados con la seguridad de su carga de trabajo y los registros que generan los servicios de AWS, como AWS CloudTrail, AWS WAF, Elastic Load Balancing y Amazon Route 53. La recogida de estos datos en ubicaciones estandarizadas de una Cuenta de AWS separada que cuente con los permisos multicuenta adecuados tiene varios beneficios. Esta práctica ayuda a evitar la manipulación de registros en cargas de trabajo y entornos comprometidos, proporciona un punto de integración único para herramientas adicionales y ofrece un modelo más simplificado para configurar el ciclo de vida y la retención de datos.  Evalúe los impactos de la soberanía de los datos, los alcances de cumplimiento y otras normativas para determinar si se requieren varias ubicaciones de almacenamiento y períodos de retención de datos de seguridad.

Para facilitar la captura y estandarización de los registros y hallazgos, valore el uso de Amazon Security Lake en su cuenta de Log Archive. Puede configurar Security Lake para que realice una ingesta automática de datos de fuentes comunes como CloudTrail, Route 53, Amazon EKS y Registros de flujo de VPC. También puede configurar AWS Security Hub como origen de datos en Security Lake, lo que le permite correlacionar los hallazgos de otros servicios de AWS, como Amazon GuardDuty y Amazon Inspector, con sus datos de registro.  Del mismo modo, puede usar integraciones de orígenes de datos de terceros o configurar orígenes de datos personalizados. Todas las integraciones estandarizan sus datos en el formato Open Cybersecurity Schema Framework (OCSF) y se almacenan en buckets de Amazon S3 como archivos Parquet, lo que elimina la necesidad del procesamiento de extracción, transformación y carga (ETL).

El almacenamiento de datos de seguridad en ubicaciones estandarizadas proporciona capacidades de análisis avanzadas. AWS recomienda desplegar las herramientas de análisis de seguridad que estén activas en un entorno de AWS en una cuenta de Security Tooling independiente de su cuenta de Log Archive.  Este enfoque le permite implementar controles exhaustivos para proteger la integridad y la disponibilidad de los registros y el proceso de administración de registros diferentes de las herramientas que se emplean para acceder a ellos.  Piense en la opción de usar servicios como Amazon Athena para ejecutar consultas bajo demanda que correlacionen varios orígenes de datos. También puede integrar herramientas de visualización, como Amazon QuickSight. Cada vez hay más soluciones basadas en inteligencia artificial disponibles y pueden realizar funciones como la traducción de los hallazgos en resúmenes legibles por humanos y la interacción en lenguaje natural.  Estas soluciones suelen integrarse más fácilmente al tener una ubicación de almacenamiento de datos estandarizada para realizar consultas.

Pasos para la implementación

1. Cree las cuentas de Log Archive y Security Tooling

   1. Utilice AWS Organizations para crear las cuentas de Log Archive y Security Tooling en una unidad organizativa de seguridad. Si usa AWS Control Tower para administrar su organización, las cuentas de Log Archive y Security Tooling se crean automáticamente. Configure los cargos y permisos para acceder a estas cuentas y administrarlas según sea necesario.

2. Configure sus ubicaciones de datos de seguridad estandarizadas

   1. Determine su estrategia para crear ubicaciones de datos de seguridad estandarizadas.  Puede hacerlo mediante opciones como enfoques de arquitectura de lagos de datos comunes, productos de datos de terceros o Amazon Security Lake. AWS recomienda que recopile los datos de seguridad de las Regiones de AWS que haya elegido para sus cuentas, incluso aunque no se estén usando activamente.

3. Configure la publicación de orígenes de datos en sus ubicaciones estandarizadas

   1. Identifique los orígenes de sus datos de seguridad y configúrelos de modo que se publiquen en ubicaciones estandarizadas. Evalúe las opciones para exportar automáticamente los datos en el formato deseado, en lugar de aquellas que requieran desarrollar procesos de ETL. Con Amazon Security Lake, puede recopilar datos de orígenes compatibles con AWS y de sistemas integrados de terceros.

4. Configure las herramientas para acceder a sus ubicaciones estandarizadas

   1. Configure herramientas como Amazon Athena, Amazon QuickSight o soluciones de terceros para disponer del acceso necesario a sus ubicaciones estandarizadas.  Configure estas herramientas para que funcionen desde la cuenta de Security Tooling con acceso de lectura multicuenta a la cuenta de Log Archive, cuando corresponda. Cree suscriptores en Amazon Security Lake para proporcionar a estas herramientas acceso a sus datos.

Recursos

Prácticas recomendadas relacionadas:

• SEC01-BP01 Separación de las cargas de trabajo utilizando cuentas

• SEC07-BP04 Definición de la administración escalable del ciclo de vida de los datos

• SEC08-BP04: Aplicación del control de acceso

• OPS08-BP02 Análisis de los registros de la carga de trabajo

Documentos relacionados:

• AWS Whitepapers: Organizing Your AWS Environment Using Multiple Accounts

• AWS Prescriptive Guidance: AWS Security Reference Architecture (AWS SRA)

• AWS Prescriptive Guidance: Logging and monitoring guide for application owners

Ejemplos relacionados:

• Aggregating, searching, and visualizing log data from distributed sources with Amazon Athena and Amazon QuickSight

• How to visualize Amazon Security Lake findings with Amazon QuickSight

• Generate AI powered insights for Amazon Security Lake using Amazon SageMaker Studio and Amazon Bedrock

• Identify cybersecurity anomalies in your Amazon Security Lake data using Amazon SageMaker

• Ingest, transform, and deliver events published by Amazon Security Lake to Amazon OpenSearch Service

• How to use AWS Security Hub and Amazon OpenSearch Service for SIEM

Herramientas relacionadas:

• Amazon Security Lake

• Amazon Security Lake Partner Integrations

• Open Cybersecurity Schema Framework (OCSF)

• Amazon Athena

• Amazon QuickSight

• Amazon Bedrock